Wat doet Stichting Toetsingsbureau KCC?

Stichting Toetsingsbureau KCC, in de wandeling KCC genoemd, certificeert marktonderzoekbureaus en aanverwante organisaties voor diverse ISO-kwaliteitsnormen. Dit zijn internationale normen die overal ter wereld hetzelfde zijn. KCC houdt audits met een team van ervaren en gespecialiseerde auditors. KCC is gelieerd aan Data & Insights Network D&IN en heeft inmiddels meer dan vijftig (marktonderzoek)bureaus gecertificeerd voor één of meer ISO-normen. Bureaus die niet lid zijn van het Data & Insights Network wordt een toeslag van 50% op de auditkosten in rekening gebracht, wanneer de audit wordt uitgevoerd door Stichting Toetsingsbureau KCC.

KCC certificeert voor de volgende ISO-normen:

• ISO 20252:2019 – Marktonderzoek algemeen
• ISO 27001:2023 – Informatiebeveiliging
• ISO 27701:2021 – Privacy-informatiemanagement
• ISO 9001:2015   – Algemeen kwaliteitsmanagement
• ISO 14001:2015 – Milieu
• Overige normen

---

Werkwijze KCC

Vanwege haar achtergrond bij de brancheorganisatie voor marktonderzoek (Data & Insights Network) heeft KCC zich van oudsher gericht op ISO 20252, waarvoor zij het overgrote deel van de audits in Nederland uitvoert. De afgelopen jaren heeft KCC ook ISO 9001, ISO 14001, ISO 27001 en ISO 27701 aan haar portfolio toegevoegd, die nu bijna 50% van alle werkzaamheden van KCC vertegenwoordigen.

Om dit werk uit te voeren, heeft KCC tien actieve auditors in dienst, waarvan er twee gecertificeerd zijn in en gespecialiseerd zijn in ISO 27001 (gegevensbeveiliging) en ISO 27701 (gegevensbescherming). De auditors zijn deels afkomstig uit de academische wereld en deels uit de praktijk bij overheidsinstanties of klanten. De auditors hebben geen banden met de instanties die zij moeten certificeren. Uiteraard zijn de auditors gebonden aan een strikte geheimhoudingsplicht.

Centraal bij de beoordeling van ISO-normen (en met name ISO 20252) staat ten eerste een controle van het kwaliteitssysteem binnen de organisatie (dat als basis dient voor de werkmethoden van de organisatie), en ten tweede een beoordeling van een steekproef van onderzoeksvoorstellen en -projecten die door de auditors zijn uitgevoerd: zijn deze opgezet of uitgevoerd op de wijze zoals voorgeschreven door het kwaliteitssysteem?

Via deze methode worden gecertificeerde instanties eens in de drie jaar ter plaatse gecontroleerd door twee auditors. In de tussenliggende twee jaar worden zogenaamde surveillances uitgevoerd, ter plaatse of op afstand: KCC onderzoekt dan ontwikkelingen binnen de instantie die van invloed kunnen zijn op het kwaliteitsbeleid en in hoeverre er actie is ondernomen naar aanleiding van de opmerkingen van de auditors tijdens een eerder bezoek.

Wanneer een organisatie voor het eerst wordt gecertificeerd, voeren de auditors op afstand een eerste beoordeling uit van de kwaliteitsdocumentatie (interne procedures, interne audits, klanttevredenheidsonderzoeken, kwaliteitsbeoordeling door het management, enz.). Als deze documentatie voldoet aan de eisen van de relevante ISO-norm, kan vervolgens de eerste audit op locatie worden ingepland.

KCC rapporteert zijn bevindingen op basis van vier (4) categorieën:

• Een formele ‘major non-conformiteit’: in dit geval is een specifiek onderdeel van het kwaliteitssysteem of de wijze waarop het kwaliteitssysteem wordt gevolgd zo ontoereikend dat certificering niet kan plaatsvinden. Als er bij een reeds gecertificeerde instantie een ‘major non-conformiteit’ wordt geconstateerd, krijgt die instantie maximaal vier weken de tijd om deze afwijking te verhelpen. Lukt dit niet, dan vervalt de bestaande certificering met onmiddellijke ingang. Als er tijdens een eerste audit een ‘major non-conformiteit’ wordt geconstateerd, wordt de certificering opgeschort totdat deze naar tevredenheid is verholpen.
• Een formele ‘minor non-conformiteit’: in dit geval is er een tekortkoming in het kwaliteitssysteem of de implementatie ervan die zo ernstig is dat deze op de lange termijn tot kwaliteitsproblemen kan leiden. Een ‘minor non-conformiteit’ moet binnen een jaar worden verholpen en de oplossing moet aan KCC worden meegedeeld; anders verandert de status in ‘major’.
• Een formeel ‘verbeterpunt’ is een bevinding van de auditors die minder ernstig is dan een ‘minor non-conformiteit’, maar waarvan de auditors menen dat deze de aandacht van de instantie vereist. Hierover kan tijdens een volgend bezoek van de auditors worden gerapporteerd.
• Een informeel ‘aandachtspunt’: Dit betreft mogelijk noemenswaardige zaken die de aandacht van de auditors trokken, maar weinig of geen invloed hebben op het kwaliteitsbeleid. Het agentschap staat vrij te beslissen of er al dan niet actie wordt ondernomen.

De benodigde tijd, en daarmee de kosten, van een beoordeling hangen af van de omvang en het werkterrein van een organisatie. Logischerwijs zal een beoordeling van bijvoorbeeld een relatief kleine organisatie die veldwerkdiensten aanbiedt, minder tijd in beslag nemen dan een beoordeling van een full-service marktonderzoeksbureau met honderden medewerkers. Auditovereenkomsten worden in de meeste gevallen afgesloten voor een periode van drie jaar. Een volledige audit vindt plaats in het eerste jaar (2 auditors), terwijl tussentijdse controles (surveillances) plaatsvinden in het tweede en derde jaar (1 auditor, met een tweede beoordelaar). KCC middelt de gebudgetteerde kosten over deze periode van drie jaar, zodat organisaties elk jaar hetzelfde bedrag betalen (om de budgettering te vergemakkelijken). De kosten worden vooraf aan de organisaties gecommuniceerd. Als de organisatie gecertificeerd wordt voor meerdere ISO-normen, wordt er alles aan gedaan om deze audits op dezelfde dag of op opeenvolgende dagen te laten plaatsvinden. Dit leidt over het algemeen tot kostenbesparingen.